Question

1.制定外包战略

金融企业在科技发展水平、科技规模实力、科技资源投入、科技管理模式等方面存在差异，需要根据本企业的实际情况，综合考虑信息科技战略、外包市场环境、自身风险控制能力，制定合适的外包战略。

外包战略通常由以下几个部分组成：

·外包管理目标。外包管理的目标通常是降低信息科技成本，缩短新产品开发周期，提高新技术应用效率和专业性，集中行内优势资源掌握核心关键技术，提高自主掌控能力，主动防范外包风险。

·外包管理方针。通常由 8~16 个字组成，基本原则是要重点突出、方向明确、朗朗上口、易于记忆。例如，“自主掌控，适度外包”“自主外包相结合，自主优先”“自主外包相结合，外包为主”等。

·外包组织架构。明确董事会、高管层、外包风险管理部门、外包审计部门、外包执行部门的职责分工，确定部门归属，强化权限的相互制约。

·外包的选择策略。明确哪些科技职能严禁外包、哪些严格控制外包、哪些适度外包、哪些优先外包等。例如，涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包，科技管理责任不得外包，某些关键核心技术或保密技术不得外包；企业级架构设计、重要信息系统的需求分析和设计、涉及敏感信息分析或处理的工作严格控制外包；非重要信息系统的分析设计和重要信息系统的编码适度外包；系统软件和电子设备维保、第三方安全服务等优先外包。

·核心能力建设方案。制订金融企业自身的资源和能力建设方案，确定必须自主掌控的核心能力所属领域和关键环节，并制订配套的人员补充、技能提升、知识转移方案，有针对性地获取或提升关键的管理及技术能力，降低对外包商的依赖。例如，明确让自有人员重点承担重要信息系统的需求分析、架构设计等开发职能，以及网络、数据库等关键的运维职能，并提供相应的人员数量、质量、技能提升、知识转移计划等配套保障。

·外包商关系管理策略。根据金融企业自身的业务需求、科技规模、市场地位等，确定外包商依赖度、集中度管理的目标，制订外包商引入的流程、外包商准入标准、外包商退出机制、外包商风险评估指标、外包商服务评价体系、外包商分级管理和差异化管理策略等。

2.明确组织架构

构建合理的信息科技外包管理组织架构，明确职责分工，是外包战略得以有效执行的重要保障。外包管理组织架构包括三个层级：

·董事会和高管层。董事会及高级管理层对信息科技外包负最终管理责任，主要职责包括明确各部门在外包管理方面的职责分工，设计必要的监督和控制机制，审批外包战略、制度和流程，审批重大项目外包决策，推动和完善外包风险管理体系建设，督促各部门履行职责以确保实现外包管理效果等。

·信息科技外包管理相关部门。包括信息科技外包管理及外包风险管理的主管部门、执行部门和监督部门，各部门间应建立工作汇报及沟通交流机制。外包主管部门通常可以由风险或合规部门担任，主要负责识别、监测、评估外包风险，向董事会及高管层报告风险评估结果，督促外包管理工作持续改善；外包执行部门通常由与外包管理相关的预算、采购、合同签订、执行、外包商管理等相关部门担任，负责外包管理相关制度制定、外包活动的具体执行落实、外包商日常管理，并向主管部门报告外包活动情况；外包监督部门通常由稽核审计部门担任，主要职责是开展定期或专项的信息科技外包管理审计工作。

·信息科技部门内部科室。在信息科技部门内部也要进行专业化分工和岗位制衡。例如安排科技管理职能科室，负责牵头组织外包商准入、评价、退出管理，以及负责预算申请、商务采购、合同签订和执行等相关职能；安排开发、运维等职能科室，按照“谁使用，谁负责”的原则，负责外包商的日常管理；安排信息安全职能科室，负责检查和监督外包管理机制的有效落实，识别风险并推动风险整改。

3.强化制度约束

信息科技外包管理制度体系是外包工作有效开展的准绳，必须遵循监管指引，并根据行内的组织架构和制度体系建设，以规范和指导外包工作的落地执行。外包管理制度包括三个层级：

·政策级制度。包括外包管理总纲、政策等，通常，整个金融企业只有一份信息科技外包管理政策，纳入整体信息科技管理纲领性制度，作为一个独立章节出现，提出对应的管理要求。主要是定义信息科技外包管理的目标、范围，解决管理“什么”以及“为什么”需要管理的问题。

·办法级制度。通常根据各部门职责分工可以有多个关于外包管理的办法，例如，风险或合规部门的外包风险管理办法，信息科技部门的信息科技外包管理办法，稽核审计部门的外包审计管理办法，以及其他部门的外包商管理办法、预算管理办法、采购管理办法等。管理办法通常定义信息科技外包管理相关各部门的职责分工、工作流程和管理要求，解决由“谁”来管理以及“如何”管理的问题。

·规程级制度。通常在部门内部发布，是办法级制度的支持性文档，例如，信息科技外包商采购管理细则，信息科技外包合同签订和执行细则，外包商现场管理工作细则，外包商考核评价管理细则，外包商风险监测和评估细则。重点在于定义部门内部各科室的职责分工、工作流程、详细操作步骤、具体实施方法、操作检查列表等，直接指导相关岗位的操作。

4.规划核心能力建设

要掌控和化解信息科技外包风险，最关键的环节和最大的挑战在于金融企业自身的核心能力建设。任何信息科技外包工作，都必须以不妨碍核心能力建设和自主掌控关键技术为导向，否则，一旦核心技术受制于人，金融企业就丧失了主动权和议价权，大大弱化了对系统的控制权和对风险的掌控力，金融企业的核心能力建设要量体裁衣、量力而行，不能急于求成，没有统一准则，“适合的才是最好的”。

大型金融企业通常自身科技力量雄厚，信息系统建设和日常运维以内部资源为主，自主研发能力和自主掌控能力较强，外包资源主要作为人力的补充，投入到非关键系统或者非关键环节。大型金融企业自主掌控能力加强，核心能力建设目标较为清晰，执行比较到位。

中小型金融企业自身科技力量普遍不足，但信息化建设高速发展，信息系统规模日趋庞大，因此经常将科技规划、应用开发、基础设施建设及网络运维等工作外包，利用外包商的专业能力和快速交付能力，提升科技支持水平。中小型金融企业自主掌控能力受到更大的挑战，亟待加强自身核心能力建设。

加强核心能力建设，需要分三步走：

1）明确建设目标，要掌控哪些科技职能、哪些环节的核心能力。

2）确定核心能力建设相关环节的资源投入方案。

3）制订核心能力建设效果评估的方法并执行、反馈、调整。

（1）明确核心能力建设目标

不同类型的信息科技外包，金融企业需要掌握的核心能力不一样。因此要树立分级分类的理念，细分本企业所有的外包类型和特点，针对每种类型给出对应的核心能力建设目标。

对于规划咨询类外包，主要目的是利用外包人员丰富的知识、行业经验、体系化的思维框架，帮助金融企业制订规划，例如，科技规划，数据中心建设规划，数据治理规划等。这一类外包，金融企业核心能力建设的重点是理解规划制订全过程的逻辑和推导的过程，后续能使规划落地执行，并具备能力自主滚动制订和调整规划。金融企业应该安排核心骨干人员全程参与规划的制订，在外包人员撤场前必须完成知识转移，在外包人员撤场后能很好地承接规划的执行和更新。

对于应用研发类外包，主要目的是利用外包商对前沿技术的掌控和研发能力以及丰富的人力资源，帮助金融企业解决快速响应业务需求的问题。这一类外包，金融企业核心能力建设的重点是掌握应用系统的技术架构，具备需求分析和系统设计的能力，能全面把握应用系统建设过程中的质量控制和风险管理，随时可以应对外包商更替、外包商经营状况变化及人员流失的风险。

对于系统运维类外包，主要目的是利用原厂商或者第三方代理公司提供的设备，规划设计方案、软件安装配置方案等，完成机房风火水电、网络、服务器、存储等基础设施项目实施，或者操作系统、数据库、中间件等系统软件的安装配置；利用外包资源完成日常运维工作，帮助金融企业快速完成部署和解决故障。这一类外包，金融企业核心能力建设的重点是掌握设备和系统软件运行调优方案，了解常见故障及解决方法，掌握设备运行效果的主要监测指标及监控方法，具备快速定位和解决问题的能力。

对于安全服务类外包，主要目的是利用安全厂商对信息安全趋势的了解、对安全态势和安全漏洞的深入钻研，帮助金融企业完成安全技术平台部署实施、安全漏洞发现和防范以及安全运营工作，补充人员数量和安全专业能力的不足。这一类外包，金融企业核心能力建设的重点是对安全技术架构的全局掌控，对安全规范的自主建立，对安全漏洞原理和防范技术的深度理解，以及对安全运营机制流程的建立等。

（2）确定核心能力建设的资源投入方案

无论是哪一类外包，目标确定后，配套的资源安排到位方可真正达成核心能力建设目标。针对各种外包服务活动，都需要安排技术人员深度参与，在过程中学习掌握外包商的架构、方法、思维模式以及具体技术成果，保障外包成果交付和知识转移的效果。

表 7-1 是资源投入方案和计划示例，金融企业应根据自身实际情况设计方案。

表 7-1　项目资源投入计划表

（3）制订核心能力建设的效果评估方法

核心能力建设方案制订后，需要建立监测指标，来评估、检验实施的效果，并根据执行效果的跟踪反馈结果，动态调整建设方案，形成螺旋上升的闭环。可以设计如表 7-2 所示的评估指标。

表 7-2　核心能力建设评估